陕西农信：云原生架构下网络安全防护探索与实践

来源：2023第七届农村中小金融机构科技创新优秀案例评选

获奖单位：陕西农信

荣获奖项：信息安全创新优秀案例

一、项目背景

“十四五”期间，陕西农信紧跟国家战略步伐，积极投身到数字中国、数字陕西建设中，并将数字化转型作为自身发展核心战略。持续加大科技投入，创新构建线上化、数字化、智能化的数字金融服务新模式，努力将自身打造成为陕西省内数字乡村和数字金融的关键一环。在数字化转型中，陕西农信高度重视IT基础支撑平台建设，主动拥抱云变化，以云原生为核心技术底座，打造了一套“分布式+全国产”技术架构的私有云平台。陕西农信广泛应用容器、微服务、DevOps等云原生技术，建设了分布式技术平台，满足了业务快速迭代、资源弹性扩展、数据共享互通、运维自动化的需求，有效助力数字化转型业务快速发展。

云原生技术为陕西农信数字化转型和业务发展带来便利。同时，新技术的引入也带来一些安全风险挑战，主要体现在以下方面：一是容器技术本身特性，其业务资产经常动态变化，容器资产难以有效清点；二是外部容器镜像可能存在木马病毒、组件安全漏洞，针对容器镜像供应链攻击越发流行，缺乏对持续对容器进行漏洞监测的手段；三是缺少对容器进行实时入侵检测的防护能力，容器可能存在逃逸问题，影响到承载容器的底层基础设施的安全稳定；四是云原生环境下，安全组件缺失或配置不规范导致的安全风险日益突出。

为有效应对云原生技术带来的安全挑战，2023年陕西农信结合实际情况和安全管理要求，依托已有的主机入侵检测系统，主动弥补云原生架构下安全防护短板，提出建设一套云原生环境下的安全防护平台。平台采用轻量化分布式部署架构，深度对接云原生运行平台，将云原生资产统一纳管，及时发现主机和容器安全脆弱性，具备入侵检测、病毒查杀等实时安全检测和响应能力，结合安全配置基线核查，将云原生安全贯穿于在预测、防御、检测和响应等环节。平台上线后，有效抵御了外部各类安全攻击，提升了云平台整体安全防护能力。

二、项目方案

（一）平台功能架构

平台基于云原生安全成熟度模型，遵循安全左移、持续监控响应和可观测性等原则，在主机安全防护基础之上，重点提升云原生安全检测与防护能力。平台围绕云原生基础设施、镜像管理、容器运行时和组件应用等多个方面，提供资产清点、集群安全、镜像安全、容器入侵检测、基线核查等安全能力，实现了云原生安全预测、防御、检测和响应的安全闭环。平台功能架构如下：

图1 安全防护平台功能示意图

（二）平台功能

1、安全资产清点

通过Agent代理技术，有效覆盖物理机、虚拟机、K8S、容器等计算资源，从安全角度对POD、容器、镜像、进程、端口、WEB服务、软件应用、中间件等资产进行持续性、自动化采集，全方位实时展示更新资产内容和状态，便于掌握云平台安全资产全貌。

2、镜像安全检测

在镜像的构建、分发、运行等生命周期中，从授信镜像、安全补丁、高危漏洞、木马病毒、Webshell和敏感信息等方面对镜像文件进行安全扫描检测，检测发现高中危应用组件和弱口令漏洞，有效阻止风险镜像参与后续运行，有效防范镜像供应链攻击风险。

3、容器入侵监测

通过多锚点对容器内的进程、网络、文件行为进行检测，持续监测容器逃逸、暴力破解、反弹Shell、Web后门、恶意命令执行、内存后门、本地提权等容器攻击行为，实时、准确地感知入侵事件，对失陷容器进行一键隔离。

4、安全合规基线

参考业内云原生安全配置最佳实践，形成适应自身云平台安全基线。通过一键自动化安全合规基线检测，发现由于环境配置不当而引入特权容器、敏感目录挂载等安全问题，并形成可视化基线检查结果和修复建议。

（三）部署架构

平台由Server服务器、超融合Agent和分布式代理三部分组成。Server服务器主要包括服务端、Scanner-worker、Cluster-link、Hiveaudit和Jenkins插件等；服务端负责对汇总数据进行统一的挖掘分析和处理展示；Scanner-worker负责拉取仓库镜像，并进行镜像扫描；Cluster-link集群连接组件主要负责K8S集群资产清点、集群管理、Agent容器管理工作；Jenkins插件用作构建阶段镜像的扫描代理；Hiveaudit是K8S集群日志审计模块；组件均为分布式部署，支持根据业务需求灵活扩展。

图2 平台部署架构图

超融合Agent部署在运行容器的宿主机上，其集成了云原生安全和主机安全双重检测能力，负责对所属主机及容器的资产清点、节点风险扫描、镜像漏洞扫描、入侵监测等工作，同时解决容器及其宿主机中存在的安全问题。分布式代理为承载sock5代理功能的主机，用于为不同网络环境下的主机和云平台提供Agent与Server服务器之间的连接服务。

三、创新点

（一）全方位安全资产梳理，及时发现问题资产

平台利用Agent探针技术，从“白盒”视角全方位盘点主机、POD、容器、镜像、Registry等资产，关联资产间访问调用关系，相比网络扫描和被动流量检测等“黑盒”资产探测方式，Agent探针收集的资产更加全面准确，有效消除资产盲点。通过特征比对、脚本运行、条件触发等多种检测手段，自动发现主机和容器资产存在的安全补丁、系统漏洞、弱口令和配置缺陷等问题，实现安全风险的自动化和智能化检测，时刻掌握安全资产变化，清除安全风险隐患。

（二）一体化安全风险监测，实时防范入侵攻击

以ATT&CK攻击模型为参考，结合IoC、大数据、机器学习等分析技术，对攻击路径的每个环节进行深入监控，全面覆盖宿主机、容器集群、镜像、容器应用等多个节点，实时检测容器运行时安全风险和攻击入侵事件，做到了云原生安全的全方位、一体化安全风险监测。

（三）内存马攻击检测

随着攻防两端对抗的深入，采用无文件攻击手法将木马文件注入内存的攻击越发流行，此类攻击具有极强的隐蔽性，传统检测手段难以通过扫描文件的方式发现内存马。平台创新性在JAVA进程中注入恶意代码检测程序，对敏感JAVA应用服务器接口调用进行监控，可有效检测发现内存Webshell、Shellcode和加载动态链接库等多种内存马攻击行为，极大提升了防守方安全防护能力。

（四）AI引擎病毒查杀

为有效解决高级病毒无法检测的问题，平台采用分布式设计和多病毒安全引擎，结合动态检测和AI推理引擎技术，可有效识别病毒变形和混淆问题，将病毒木马等价还原成最简化特征形式，及时发现木马中存在的可疑内容，极大提高对于木马病毒的检测能力。

四、技术实现特点

（一）落地安全左移，降低安全开发成本

践行“安全左移”理念，在容器镜像构建、分发、运行等生命周期阶段进行安全管控，提前消除安全风险。在构建阶段，检查IaC文件和生成镜像的安全性，发现潜在的补丁、漏洞、病毒、敏感信息和非法镜像等；在测试分发阶段，进行合规基线检查，消除不安全配置；在上线阶段，对生产环境的编排文件和容器镜像再次进行安全检查和一致性校验，排除敏感信息和不合规配置。

（二）融合轻量化部署，全面适配国产化

平台将主动安全能力集成于唯一安全探针Agent，自适应传统主机和容器化运行环境。对于容器集群仅在所有node节点安装Agent即可，后续容器上线和扩容无需安装，具备高效敏捷和弹性，自动适配云原生场景。Agent探针采用轻量化部署，CPU占用率小于10%，内存占用小于100M。同时，积极响应国家国产化战略，Agent完美适配麒麟、统信等国产操作系统，为后续国产化改造推广提供了基础条件。

（三）动态安全检测，准确感知入侵威胁

平台基于恶意行为模型，可有效检测远程漏洞利用、反弹Shell、高危命令调用、内存马攻击、内网代理穿透、K8S异常调用、容器逃逸、文件篡改等多种容器运行态攻击行为。通过多锚点的行为检测能力，对容器进程行为、文件行为、网络行为进行监控学习，建立容器行为模型，分析异常偏离行为，发现未知入侵威胁，准确感知入侵事件，并将告警自动关联分析，提高主动溯源能力，对容器集群进行有效防护。

五、项目过程管理

本项目于2022年4月启动，2023年6月正式投入运行，项目建设周期为14个月，经历了需求分析、功能测试、部署实施、正式上线、持续运营等5个阶段。项目具体建设过程如下：

（一）需求分析阶段

时间周期：2022年4月至5月

工作内容：主要进行前期预研，根据本单位网络安全建设现状完成需求分析与功能的确认，并对系统技术架构、部署模式进行研究。

（二）功能测试阶段

时间周期：2022年6月至2023年3月

工作内容：结合前期预研形成的解决方案对平台开展功能测试，验证各功能模块与实际需求的符合情况，形成测试结论、功能测试报告。

（三）部署实施阶段

时间周期：2023年4月

工作内容：根据实际网络结构和平台部署模式形成最佳实施方案，完成镜像仓库对接、容器集群扫描组件安装，并逐步对非集群容器节点进行Agent安装，达到100%覆盖率。

（四）正式上线阶段

时间周期：2023年5月

工作内容：平台正式上线运行，统计资产清点结果和风险扫描详情。对生产问题扫描结果进行分析，人工研判减小误报率。协调开发和运维团队对已证实的业务系统问题进行修复。并根据研判结果对误报告警进行策略优化。

（五）持续运营阶段

时间周期：2023年6月起

工作内容：上线后开始将平台纳入常态化安全运营流程中。基于平台在预测风险、精准感知威胁、资产清点等方便的优异能力，通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意行为、异常事件，监测到入侵事件后，对失陷容器快速安全响应。定期向运维团队反馈新增业务系统脆弱性以进行整改，消除安全威胁。

六、运营情况

平台上线后，已接入近百个容器集群节点、4000多个代码仓库镜像、2000多个节点镜像，全面覆盖陕西农信统一C端、远程银行、智能客服和交易中台等多个重要业务系统。防护平台累计检测出容器应用漏洞300余多、弱口令150多个、不合规配置220余个、内网代理穿透2起、内存马攻击1次。平台上线后，发现了大量潜在安全隐患，在实战攻防对抗中检测阻断了多起攻击，有效提升了整体安全防护能力，保障了业务系统安全稳定运行。

七、项目成效

（一）云原生资产全面收集，持续入侵检测响应

自动化构建云原生安全资产信息，时刻掌握容器资产变化，将容器环境安全由“看不见、摸不着”的局面，扭转为“可量化、可评估”，大幅度消除了云原生安全隐患，提升了安全可控能力。通过持续监控分析，及时发现异常风险和入侵，准确感知入侵事件并提供对应的响应手段。

（二）安全左移，业务上线即安全

按照“安全左移”管理思想，将镜像容器安全管控前移，与现有安全开发流程相结合，将安全卡点内置到DevOps流程中，设立严格的准入与准出规则，提前发现缓释被攻击和潜在运行风险，确保业务上线即安全。

（三）安全体系联动，赋能安全运营

云原生安全平台与态势感知、威胁情报、自动阻断等其他现有安全系统进行联动对接，相互配合，构建完成立体纵深安全防护网。为安全人员日常运营提供了便利，可快速定位漏洞影响范围，确认风险资产，有效提升安全检测准确率。

八、经验总结

陕西农信通过建设基于云原生安全体系平台，将云原生资产统一纳管，实现了容器安全预测、防御、检测和响应的安全闭环，有效解决了云原生环境下面临的安全痛点，提升了容器安全防护水平。平台覆盖了容器全生命周期，防御能力，实施部署简单，对其他中小银行机构云原生安全平台建设具有积极的参考意义。

更多金融科技案例和金融数据智能优秀解决方案，请登录数字金融创新知识服务平台-金科创新社案例库、选型库查看。